WhatsApp, in arrivo gli adesivi animati! Come sono e come funzioneranno

[Alex193a]

Quote:

Originariamente inviato da Erotavlas_turbo

Nella crittografia cloud, la stessa utilizzata da google drive, il gestore del servizio possiede le chiavi di cifratura e può leggere il contenuto.
Whatsapp utilizza la crittografia e2e nel normale utilizzo. Quando le chat vengono salvate nel cloud google esse non sono più crittografate e2e.
I dati multimediali (immagini, video, audio) e i contatti sono in chiaro mentre i messaggi sono crittografati con crittografia simmetrica AES-256. Google analizza sicuramente i dati multimediali e i contatti e questo è il motivo del backup illimitato gratis. I dati degli utenti sono il pagamento.
Per quanto riguarda i messaggi, la chiave di cifratura/decifratura è generata a partire dal numero di telefono al momento della ricezione del SMS di login. La chiave è sempre la stessa...(almeno è quanto scritto nell'articolo).

Se confermato, la sicurezza e whatsapp sono sempre di più un ossimoro...

Mi riferivo ovviamente al backup delle chat che è cifrato e non può essere letto da Google.
Il database dei contatti non viene inviato su Drive, possono vedere i dati multimediali, certo, ma non possono associarli ad una chat, ad un contatto, al contesto generale.
Cosa che potrebbero comunque fare direttamente sul telefono se si usa Google Foto ad esempio.
Sì la chiave per decriptare il backup del database dei messaggi è sempre la stessa fino a quando non viene eliminato l'account.

[Erotavlas_turbo]

Quote:

Originariamente inviato da Alex193a

Mi riferivo ovviamente al backup delle chat che è cifrato e non può essere letto da Google.
Il database dei contatti non viene inviato su Drive, possono vedere i dati multimediali, certo, ma non possono associarli ad una chat, ad un contatto, al contesto generale.
Cosa che potrebbero comunque fare direttamente sul telefono se si usa Google Foto ad esempio.
Sì la chiave per decriptare il backup del database dei messaggi è sempre la stessa fino a quando non viene eliminato l'account.

Non posso verificare direttamente in quanto non ho whatsapp e per questo mi attengo all'articolo.
Quindi vengono salvati senza cifratura "solo" i dati multimediali?
In passato, venivano salvati anche i contatti o l'articolo è sbagliato?
Adesso, i contatti vengono solo salvati sul server di whatsapp?
Se la chiave è sempre la stessa ed è associata al numero di telefono, quali misure di protezione ci sono per evitare che essa non venga clonata? Un telefono con root può accedere al file e copiarlo...

[Alex193a]

Quote:

Originariamente inviato da Erotavlas_turbo

Non posso verificare direttamente in quanto non ho whatsapp e per questo mi attengo all'articolo.
Quindi vengono salvati senza cifratura "solo" i dati multimediali?
In passato, venivano salvati anche i contatti o l'articolo è sbagliato?
Adesso, i contatti vengono solo salvati sul server di whatsapp?
Se la chiave è sempre la stessa ed è associata al numero di telefono, quali misure di protezione ci sono per evitare che essa non venga clonata? Un telefono con root può accedere al file e copiarlo...

Sì, solamente i dati multimediali.
L'articolo è errato o almeno non si riferisce a WhatsApp quando parla dei contatti, probabilmente intende prendere i contatti della rubrica dall'account Google. I contatti vengono sincronizzati solamente con i loro server, ed è sempre stato così.
WhatsApp su Drive salva solamente i dati multimediali, il database dei messaggi (msgstore.db.crypt12), il database con i settaggi delle chat (chatsettingsbackup.db.crypt1), il database del rank degli Stati (statusranking.db.crypt1) e il database degli sticker (stickers.db.crypt1).
Il database che contiene i contatti si chiama wa.db ed è presente solo nella memoria interna di WhatsApp (non accessibile da app esterne) e non ne viene eseguito assolutamente il backup, nemmeno in locale.
Per quanto riguarda la key non c'è nessuna protezione a riguardo. Un telefono con i permessi di root può prenderla ed usarla tranquillamente per decriptare il database, ma è un passaggio inutile dato che un malintenzionato potrebbe prendere direttamente quello in chiaro senza cifratura.
WhatsApp non supporta gli utenti con permessi di root e custom ROM, quindi non si pongono il problema.

[Erotavlas_turbo]

Quote:

Originariamente inviato da Alex193a

Per quanto riguarda la key non c'è nessuna protezione a riguardo. Un telefono con i permessi di root può prenderla ed usarla tranquillamente per decriptare il database, ma è un passaggio inutile dato che un malintenzionato potrebbe prendere direttamente quello in chiaro senza cifratura.
WhatsApp non supporta gli utenti con permessi di root e custom ROM, quindi non si pongono il problema.

La chiave di crittografia viene generata localmente a partire dal numero di telefono o viene generata lato server e trasmessa al dispositivo? Non è chiaro nell'articolo.
Inoltre, ho letto qui che stanno implementando il trasferimento dell'account android su di un dispositivo diverso senza bisogno di introdurre il codice via SMS. Questo mi fa supporre che la chiave sia generata lato server...

[Erotavlas_turbo]

Ho indagato ulteriormente. La risposta più plausibile, confermata da varie fonti, è la seguente:
Whatsapp memorizza in chiaro i dati all'interno dei database SQL in locale. I backup dei messaggi, contatti, sticker e impostazioni varie sono cifrati con crittografia simmetrica AES-256. I dati multimediali (immagini, video e audio) sono in chiaro.
La chiave di crittografia è memorizzata nei server di Whatsapp e inviata in caso di reinstallazione o cambio di dispositivo.

Quindi google è in grado di leggere solo i dati multimediali, ma avendo whatsapp la chiave di cifratura occorre fidarsi di entrambi.
Whatsapp potrebbe scaricare il backup dai server di google e inviarlo dove vuole o passare la chiave di cifratura a google...

[Erotavlas_turbo]

Con l'aggiunta della funzione Backup Protect il problema precedente dovrebbe scomparire.